www.pwc.se Botkyrka kommun Revisionsrapport april 2014 Övergripande IT-granskning
Innehållsförteckning 1. Inledning 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer och rekommendationer 5.1 IT-strategi 5.2 IT-leverans 5.3 Teknologi 5.4 Personal 5.5 System och applikationer 6. Avslutning och kontaktinformation 2
1. Inledning Bakgrund Under april 2014 har på uppdrag av de förtroendevalda revisorerna i Botkyrka kommun genomfört en översiktlig granskning av kommunens IT-verksamhet. Granskningen har omfattat IT-frågor inom verksamhetsområdet IT/e-utveckling (hädanefter kallat IT-avdelningen) såväl som IT-verksamheten inom ett urval av förvaltningar. Resultatet av granskningen presenteras i denna rapport. Syfte Uppdraget innebar att analysera IT-verksamheten för att förstå och utreda huruvida denna uppfyller det behov av IT-stöd som finns i kommunen. Granskningen har fokuserat på styrning och strategifrågor; teknologi och funktionalitet; projekt; personalaspekter såsom kompetens och bredd, samt ekonomi och uppföljning. Revisionsfrågor Rapporten avser att belysa följande: Är användningen av resurser organiserad, strukturerad och kontrollerad för att ge och matcha en optimal IT-leverans och ett optimalt verksamhetsstöd? Hur säkerställs IT-säkerheten? 3
2. Metod Under granskningen har verktyget IT Management Analysis (ITM) använts. Verktyget bygger på en databas som innehåller jämförbar (s k god praxis och benchmarking) och relevant information för generell IT-verksamhet inom områdena IT-strategi, ITleverans, teknologi, personal samt system och applikationer (se tabell nedan). IT-strategi IT-leverans Teknologi Personal System och applikationer Vad krävs för att säkerställa att IT-strategin stödjer verksamheten på bästa sätt? Hur ska verksamheten hantera och styra IT? Är användningen av resurser organiserad, strukturerad, analyserad och kontrollerad för att ge optimal IT-leverans och ett optimalt verksamhetsstöd? Hur mäts och värderas IT-stödet? Hur ligger kostnadsnivån i relation till värdet av IT? Följs trender inom teknologi, är IT-arkitekturen effektiv och anskaffas teknologi på det mest effektiva sättet? Hur anpassningsbar är tekniken till förändrade behov och förutsättningar i verksamheten? Hur hanteras personal i relation till IT (kompetens, attityder, relationsförmåga, processer och effektivitet)? Är applikationer och IT-system ändamålsenliga och kostnadseffektiva, ger de tillräckliga beslutsunderlag och vilka ytterligare behov finns? Baserat på metoden ovan har respektive delområde bedömts utifrån en femgradig skala. Resultatet sammanfattas i ett cirkeldiagram, där färgerna rött, gult och grönt påvisar utfall i förhållande till ett önskvärt läge. I bedömningen och vår slutsats har förutsättningar och omständigheter, specifika för Botkyrka kommun, vägts in. 4
3. Genomförande Granskningen har utförts genom intervjuer med nyckelpersoner inom Botkyrka kommun, samt inläsning och genomgång av dokumentation och annat relevant material. Sammanlagt har 10 personer intervjuats (se tabell nedan). Urvalet har bestått av strategiska IT-personer från kommunledningsförvaltningen (KLF), ansvarig och operativ personal för IT-frågor inom IT-avdelningen samt verksamhetsrepresentanter från Samhällsbyggnadsförvaltningen (SBF) och Socialförvaltningen (SOC). Namn Titel Mikael Nyberg Maria Richter Christine Bergström Anneli Sjöberg Mattias Jansson Mikael Öhlund Johan Högne Jan Kylhammar Lars Svantesson Carine Spång Administrativ chef, SBF Verksamhetsutvecklare, SOC IT-beställare, SOC IT-planerare, SOC Kommundirektör Chef IT-Stöd Tf chef IT-Support Verksamhetsutvecklare, KLF IT-chef Informationssäkerhetssamordnare, KLF 5
4. Revisionsfrågor - sammanfattning Vår sammanfattande bedömning är att Botkyrka kommun i stort har en fungerande IT-verksamhet. Ett antal utvecklingsområden har dock identifierats. Nedan listas de mest kritiska iakttagelserna: 1. Avsaknad av vissa styrande dokument inom IT som beskriver vilka syften kommunen har och vilka mål IT vill uppnå med sin verksamhet. Dessa dokument bör utvecklas tillsammans med förvaltningarnas verksamhetsplaner och befintliga pm3-planer för att säkerställa en verksamhetsdriven IT inom kommunen. 2. Avsaknad av en IT-kontinuitetsplan samt bristande kommunikation avseende kommunens informationssäkerhetspolicy inklusive underliggande ansvarsområden. 3. Avsaknad av ett gemensamt projekthanteringssystem för att samordna och prioritera IT-projekt inom kommunen. 4. Manuella drift- och övervakningsrutiner skapar ett reaktivt arbetssätt inom IT-avdelningen. Vår övergripande rekommendation är att Botkyrka kommun i första hand prioriterar arbetet med att ta fram en IT-strategi som bygger på verksamhetens behov och krav. En framgångsfaktor är att tydliggöra visioner och målbilder som visar vilket IT-stöd som krävs och förväntas inom kommunen samt att kommunicera dessa. Vidare rekommenderar vi att kommunen utvecklar en kontinuitetsplan som går i linje med kommunens katastrofplan och baseras på verksamhetens behov. NOT: Området Quality Management har inte varit del av granskningen då det inte är kopplat till revisionsfrågorna. Därför saknas bedömningsfärg i diagrammet ovan. 6
5.1 IT-strategi översikt 7
5.1.1 IT-strategi observationer 1. Det fanns vid intervjutillfället ej någon fastslagen IT-strategi. Detta är dock ett medevetet val då man, sedan 2007, tagit fram en e-strategi där en del i denna utgör IT-strategin. Det framkom att kommunen nyligen beslutat att IT har till uppgift att ta fram en verksamhetsdriven IT-strategi som på en övergripande nivå ska definiera kommunens ITverksamhet. Mätningar av IT-leverensen sker enligt uppgift genom SKL:s verktyg, e-blomlådan. 2. Enligt uppgift finns det uppdaterade verksamhetsplaner för de granskade förvaltningarna. Vid våra intervjuer har det framkommit att förvaltningarna har utmaningar i att få med IT-frågor i förvaltningarnas verksamhetsplaner. En förklaring till detta är att förvaltningarna har svårt att uttrycka sina behov i IT-termer. Vidare finns det ett formaliserat nätverk mellan verksamheten och IT där man strukturerat diskuterar strategiska, taktiska och operativa frågor och förutsättningar kring IT. 3. Det saknas ett projektkontor och en utvecklad portföljstyrning av samtliga IT-projekt inom kommunen. Detta kan leda till att felprioriteringar görs, att eventuella synergieffekter ej uppnås och att beroenden och risker ej tas i beaktande. 4. Det finns en policy för informationssäkerhet med tillhörande riktlinjer. Det har under våra intervjuer uppdagats att dessa riktlinjer ej är till fullo kommunicerade inom kommunen och det finns därmed en risk för att dessa riktlinjer inte efterlevs. I riktlinjerna finns en tydligt definierad struktur för hur informationssäkerhetsarbetet inom kommunen ska bedrivas samt vem som ansvarar för att arbetet utförs. Under granskningen har det framkommit att det finns en osäkerhet kring ansvarsfördelningen mellan IT-avdelningen och informationssäkerhetsgruppen. 5. Vi har fått de senaste två årens sammanställningar kring IT-kostnader för IT-avdelningen. Varje enskild förvaltning har en egen IT-budget som hanteras på olika sätt, varför vi ej kunnat få en total bild av vad IT som helhet kostar. Vidare har det också noterats att utfallet för 2012 och 2013 översteg budget för delar av IT. 8
5.1.2 IT-strategi rekommendationer Vi rekommenderar Botkyrka kommun att: 1. Fortsätta arbetet med att utveckla de framtagna underlagen för en verksamhetsdriven IT-strategi för att därigenom beskriva på vilket sätt IT skall stödja kommunens verksamhet och kommunens invånare. Vi rekommenderar även att kommunen ser över, dokumenterar och kommunicerar vilka syften kommunen har och vilka mål IT-verksamheten vill uppnå. Kommunen bör också fortsätta att löpande utvärdera IT-leveransen. 2. Ta fram IT-planer specifikt för respektive förvaltning och förvaltningsgränsöverskridande pm3-objekt. Ansvaret för dessa planer bör ligga hos verksamheten eller i förvaltningen av pm3-objekten och stämmas av med IT så att de kan planera sin verksamhet baserat på dessa planer. För att möjliggöra en effektiv uppföljning av IT-avdelningens verksamhet rekommenderar vi även att kommunen tar fram lämpliga mätetal (KPI:er) kopplade till IT:s verksamhet. En framgångsfaktor för IT-avdelningens framtida verksamhet är att bibehålla och utveckla det formaliserade nätverket mellan verksamheten och IT där man strukturerat diskuterar strategiska frågor kring IT. 3. Utveckla portföljstyrning av samtliga IT-projekt inom kommunen i syfte att dels identifiera eventuella synergieffekter, dels säkerställa att rätt prioriteringar görs. 4. Utreda ansvarsfördelningen mellan IT-avdelningen och informationssäkerhetsgruppen avseende informationssäkerheten och IT-säkerheten inom kommunen. Vidare rekommenderar vi att en rutin för periodisk uppföljning av efterlevnad avseende riktlinjer och policys införs. 5. Ge KLF i uppdrag att utreda om, och i så fall hur, totala IT-kostnader ska sammanställas inom kommunen. Initialt bör kommunen se över hur IT-kostnader sammanställs och säkerställa att alla relevanta kostnader inkluderas. 9
5.2 IT-leverans översikt 10
5.2.1 IT-leverans observationer 1. Förvaltningsmodellen pm3 är till vissa delar implementerad inom kommunen. Av de granskade förvaltningarna har SOC pm3 implementerad. 2. Det finns en dokumenterad rollbeskrivning i dokumentet Verksamhetsområde ITe-utveckling- Ansvarsområden och befattningar 1.0 som avser IT-avdelningens organisation. Det har vid våra intervjuer framkommit att dessa beskrivningar inte är kommunicerade, vilket kan innebära att ett förväntansgap mellan IT och verksamheten uppstår. Enligt uppgift ska det inom IT-avdelningen finnas en sammanställning över systemägare och förvaltare som inte förvaltas enligt pm3-modellen. Dock är det oklart på vilket sätt detta dokument uppdateras och förnyas. 3. Det finns definierade servicenivåer (SLA:er) mellan IT och verksamheten. Servicenivåerna upplevs inte alltid vara anpassade efter verksamheternas behov, utan utgår ifrån en standardmall. Den generella upplevelsen är dock att IT-miljön fungerar tillfredställande. Dock har vi fått indikationer på ett visst missnöje avseende den service verksamheten får från IT-avdelningen, främst avseende leveransen av IT-arbetsplatser och datortillbehör. Vid större projektgenomföranden upplever verksamheten att IT-avdelningen ibland lider av resursbrist och därmed blir IT:s dagliga leverans bristfällig. 4. Botkyrka kommun har sedan 2006 en beslutad projektmodell. Modellen används i viss utsträckning men det finns ett uttalat behov av att modellen kan utvecklas. Vidare saknas, som tidigare nämnts, ett projektkontor i syfte att på en kommunövergripande nivå prioritera och besluta kring projekt samt utreda dess eventuella nyttorealiseringar. Därutöver verkar det som att inga analyser görs på avslutade projekt för att tydliggöra verksamhetsnyttan eller någon finansiell uppföljning. 5. Stora delar av driften för den centrala IT-miljön sköts internt av IT-avdelningen inom Botkyrka kommun, dock driftas ett flertal av kommunens verksamhetssystem och webbplatser av externa leverantörer. Det genomförs ett införandeprojekt för incident- och problemhanteringsprocesser samt process för tillgodoseende av begäran inom IT. Det har framkommit att ITavdelningen saknar formella processer avseende förändringshantering, vilket innebär att det saknas krav på formellt godkännande av förändringarna innan de produktionssätts. Detta kan äventyra driftsäkerheten inom kommunen. Vidare har inte alla kritiska verksamhetssystem en testmiljö. 6. Det saknas en kontinuitetsplan för kommunens IT-verksamhet, vilket kan leda till längre driftstopp än nödvändigt då inga formella rutiner eller prioriteringar existerar. Vi har även noterat att det finns brister hos IT-avdelningens patchhantering (säkerhetsuppdateringar), både i klient- och på servermiljön. Inga sårbarhetsanalyser eller penetrationstester genomförs regelbundet, vilket kan tyda på att kommunen inte har kontroll på säkerhetsnivån i sin IT-miljö. 11
5.2.2 IT-leverans rekommendationer Vi rekommenderar Botkyrka kommun att: 1. Fortsätta implementationen av pm3 inom kommunen. 2. Kommunicera rollbeskrivningar till verksamheten för att överbrygga de identifierade bristerna och därmed minska ett eventuellt förväntansgap mellan IT och verksamheten. 3. Se över befintliga SLA:er och säkerställa att överenskomna servicenivåer också är anpassade till verksamhetens behov. Vidare rekommenderar vi kommunen att granska befintliga beställnings- och leveransrutiner avseende IT-arbetsplatser och datortillbehör för att om möjligt förbättra dessa. Därutöver rekommenderas kommunen att se över resursallokeringen på IT-avdelningen. 4. Utarbeta en strategi för användandet av vald projektmodell samt att projekt följs upp och utvärderas löpande, både ur ett finansiellt perspektiv och ur ett verksamhetsperspektiv, för att på så sätt möjliggöra bättre styrning inom kommunen. Därutöver bör projektuppföljningen även innefatta uppföljning av kostnader för leverans så att förvaltningarna har möjlighet att se över vilka kostnader som finns med. 5. Fortsätta med implementeringen av relevanta processer inom ITIL-ramverket. 6. Omgående påbörjar arbetet med att ta fram en kontinuitetsplan för IT som går i linje med kommunens verksamhet. Vidare bör en åtgärdsplan för att effektivt återställa system, applikationer och processer vid en eventuell incident sammanställas. Även patchuppföljningar, antivirusstatistik, logganalyser och externa penetrationstester bör löpande ske för att säkerställa rätt leverans och att rätt nivå av IT-säkerhet uppfylls. 12
5.3 Teknologi översikt 13
5.3.1 Teknologi observationer 1. Det saknas en uttalad strategi när det gäller IT-teknik som beskriver IT-miljön ur ett mer långsiktigt perspektiv. Den enda uttalade strategi som finns, är att kommunen ska vara en Microsoft-orienterad kommun. 2. De centrala delar av IT-miljön som IT-avdelningen ansvarar för är modern (exempelvis klustrad, virtualiserad och standardiserad). Det finns viss dokumentation av den centrala IT-miljön på en övergripande nivå men det förefaller som om stora delar saknas. Det förefaller även som att det saknas en uttalad strategi över hur lagring och spridning av dokumentation ska ske. Dokumentation av de system som förvaltningarna ansvarar för har enligt uppgift brister. 3. Övervakningen av den centrala IT-miljön består till mångt och mycket av manuella rutiner och processer som utförs av ITtekniker, och det saknas ett system för att automatisk upptäcka avvikelser och incidenter. Detta innebär att IT-avdelningens åtgärder är mer reaktiva än proaktiva, vilket också bekräftas då det uppges att IT-tekniker ofta får släcka bränder. Vidare saknas ett system för att hantera, installera och kontrollera säkerhetsuppdateringar på servrar, vilket idag sköts helt manuellt. 4. Enligt uppgift är IT-avdelningen involverad i de flesta av verksamhetens upphandlingsprojekt för att diskutera tekniska krav, ofta på ett tidigt stadium. 5. Kommunen håller enligt uppgift på att implementera en process för testning. Testprocessen har utvecklats och testats inom ramen för förvaltningsobjektet Social omvårdnad och när denna är fullt implementerad ska den ligga till grund för kommunen gemensamma testprocess. 14
5.3.2 Teknologi rekommendationer Vi rekommenderar Botkyrka kommun att: 1. Ta fram en teknisk IT-strategi som beskriver hur IT-miljön ur ett mer långsiktigt perspektiv ska utvecklas och stödja kommunens verksamhet. 2. Ta fram en modell för hur dokumentationen av den centrala IT-miljön ska genomföras. Dokumentation av IT-miljön är av stor vikt ur ett säkerhetsperspektiv och kan med fördel ingå som en del vid framtagandet av kommunens kontinuitetsplan där en övergripande beskrivning och dokumentation bör ingå. 3. Utreda vilka effekter en automatisering av övervakningen av den centrala IT-miljön kan leda till. En automatiserad övervakning kan leda till en mer proaktiv IT-avdelning som därigenom kan minska behovet av brandsläckning och därmed få en mer effektiv resursallokering. Vidare rekommenderar vi kommunen att se över möjligheten att implementera ett tekniskt system för att effektivisera säkerhetsuppdateringar inom kommunens IT-miljö i syfte att förbättra efterlevnaden av kommunens IT-säkerhetsnivå. 4. Fortsätta det nära samarbetet mellan IT och verksamheten vid upphandlingsprojekt. 5. Implementera den testprocess, som nu utvecklas, inom relevanta områden i kommunen. 15
5.4 Personal översikt 16
5.4.1 Personal observationer 1. Det upplevs av verksamheten som att IT-avdelningen är relativt anonym och att kommunikationen brister kring vad IT:s uppdrag, roll och funktion är, inom kommunen. Det saknas en kommunikatör för IT, en funktion som finns inom andra delar av kommunen. 2. I de fall där slutanvändaren påpekar att supportärenden tar längre tid än förväntat, uppger IT-avdelningen ofta att resursbrist är en bidragande orsak. Större resurskrävande projektet upplevs påverka IT-avdelningens leveransförmåga, vilket har kommit att inverka på den dagliga verksamheten på ett negativt sätt. 17
5.4.2 Personal rekommendationer Vi rekommenderar Botkyrka kommun att: 1. Förtydliga och kommunicera IT-avdelningens uppdrag, roll och funktion. Vidare bör det utvärderas huruvida en kommunikatör skulle kunna underlätta arbetet med informationsspridning. 2. Säkerställa att bemanning i större projekt inte påverkar IT-avdelningens dagliga leverans och att definierade SLA:er uppfylls. 18
5.5 System och applikationer översikt 19
5.5.1 System och applikationer observationer 1. Det beställningssystem och de beställningsrutiner avseende IT som finns inom kommunen upplevs som omoderna och krångliga och anses hålla en allt för låg standard. 2. Intervjuer påvisade att det ej upprättats några formella listor över kritiska system inom kommunen. Vid ett eventuellt större driftstopp, saknas en handlingsplan för i vilken ordning kommunens system ska startas upp. Enligt utsago finns det dock inom IT en informell vetskap avseende vilka system som är mest kritiska och i vilken ordning systemen ska startas upp. 3. Undersökningar av kund- och verksamhetsnytta för system eller applikationer har inte genomförts inom kommunen. 20
5.5.2 System och applikationer rekommendationer Vi rekommenderar Botkyrka kommun att: 1. Identifiera vilka brister som finns i dagens beställningssystem och rutiner i syfte att utveckla och effektivisera dessa. 2. Sammanställa en lista över vilka de kritiska systemen är inom kommunen. Sammanställningen bör vara baserad på en av verksamheten genomförd riskanalys. Baserat på denna sammanställning, bör en handlingsplan tas fram över i vilken ordning kommunens system ska startas upp i händelse av ett större driftsavbrott. 3. Genomföra kundundersökningar på utvalda system och applikationer för att få mätvärden för användarfunktion och verksamhetsnytta. 21
6. Avslutning och kontaktinformation Vi vill avslutningsvis ta tillfället i akt och tacka de personer som deltagit i intervjuer och bidragit med underlag till denna översyn för ett vänligt bemötande och ett gott samarbete. Vid frågor om översynen kan Janne Swenson eller Jens Ryning kontaktas. Stockholm april 2014 Kontakt: Janne Swenson Jens Ryning E-post: janne.swenson@se.pwc.com E-post: jens.ryning@se.pwc.com Tel: 010-213 35 22 Tel: 010-212 58 93 2013 PricewaterhouseCoopers i Sverige AB. All rights reserved. In this document, refers to PricewaterhouseCoopers i Sverige AB which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.